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(54) Title: PROCESS MEASUREMENT APPARATUS FEATURING EXTENDED HARDWARE FAILURE RECOGNITION 
(54) Bezeichnung: PROZESSMESSGERAT MIT ERWEITERTER HARDWAREFEHLERERKENNUNG 

(57) Abstract: Disclosed is a process measurement apparatus comprising a first processor (21) which processes measured values 
in a first processing cycle by means of a first algorithm, and a second processor (25) that performs coordination tasks and/or com- 
munication tasks. The second processor (25) reads a set of reference data out of the first processor (21) at intervals that are greater 
than the first processing cycle and executes the first algorithm based on said set of reference data in order to verify whether the first 
processor functions properly. 



(57) Zusammenfassung: Ein Prozessmessgerat mit einem ersten Prozessor (21), welcher in ersten Verarbeitungszyklen mit einem 
ersten Algorithmus eine Messwertverarbeitung durchfuhrt; und einen zweiten Prozessor (25), welcher Koordinations und/oder Kom- 
munikationsaufgaben wahrnimmt. Der zweite Prozessor (25) liest in Zeitabstanden, die grosser sind als der erste Verarbeitungszyklus 
einen Kontrolldatensatz aus dem ersten Prozessor (21), und fuhrt anhand des Kontrolldatensatzes den ersten Algorithmus aus um die 
korrekte Funktion des ersten Prozessors zu verifizieren. 
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Beschreibung 
Prozessmessgerat mit erweiterter Hardwarefehlererkennung 

[001] Die vorliegende Erfindung betrifft ein Prozessmessgerat, insbesondere ein Prozess- 
messgerat mit erweiterter Hardwarefehlererkennung. 

[002] Die Zertifizierung eines Prozessmessgerates nach der Norm IEC61508; (SIL2) 
erfordert, dass am Gerat eventuell auftretende Hardware-Defekte mit hoher Wahr- 
scheinlichkeit erkannt und als Fehlerzustand an einen Messwertempfanger signalisiert 
werden. Der statistische Anteil von Fehlern, die zu einer korrekten Signalisierung des 
Fehlerzustands an den Messwertempfanger fiihrt, wird SFF (nach dem englischen 
Begriff Safe Failure Fraction) bezeichnet. 

[003] Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, ein Prozessmessgera 
t mit einer Im Sinne einer hohen Erkennungswahrscheinlichkeit im Falle von Hardwa- 
refehlern bereitzustellen. 

[004] Statistische Analysen der Fehlerhaufigkeit haben ergeben, dass insbesondere 

Prozessoren und andere hochintegrierte Halbleiterbauteile, beispielsweise Speicher und 
ASICS, maBgeblich zur statistischen Gesamtausfallrate eines Prozessmessgerates 
beitragen. 

[005] Die Aufgabe wird gelost durch ein Prozessmessgerat mit einem ersten Prozessor, 
welcher in ersten Verarbeitungszyklen mit einem ersten Algorithmus eine Messwert- 
verarbeitung durchfuhrt; und einen zweiten Prozessor* welcher hauptsachlich fur die 
Koordination und/oder Kommunikation zustandig ist, 

[006] wobei ferner der zweite Prozessor in Zeitabstanden, die groBer sind als der erste 
Verarbeitungszyklus einen Kontrolldatensatz aus dem ersten Prozessor ausliest, und 
anhand des Kontrolldatensatzes den ersten Algorithmus ausfiihrt und die korrekte 
Funktion des ersten Prozessors verifiziert. 

[007] Der erste Prozessor ist vorzugsweise ein spezialisierter digitaler Signalprozessor mit 
sehr schnellen Verarbeitungszyklen. Der zweite Prozessor ist beispielsweise ein Micro- 
controller, der erheblich klangsamer arbeitet als der digitale Signalprozessor. 

[008] Der Kontrolldatensatz kann beispielsweise Rohmesswerte eines Sensors und Zu- 
standsvariablen sowie die von dem ersten Prozessor daraus eixechneten zugehorigen 
Ergebniswerte enthalten. Die Verifizierung erfolgt beispielsweise durch direkten 
Vergleich des aus dem ersten Prozessor ausgelesenen Ergebnis mit dem Ergebnis aus 
der Durchfuhrung des ersten Algorithmus durch den zweiten Prozessor. 

[009] Der zweite Prozessor umfasst einen Programmspeicher. Zusatzlich kann der zweite 
Prozessor gemaG einer Weiterbildung der Erfindung seinen Programmspeicher mittels 
einer Prufsumme oder einem CRC (nach englischen Begriff Cyclic Redundancy 
Check) regelmaGig verifizieren. 
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[010] Der zweite Prozessor umfasst weiterhin einen Schreib/Lesespeicher, den der zweite 

Prozessor gemaB einer Weiterbildung der Erfindung mittels Testpattern regelmaBig auf 

statische Fehler uberprufen kann. 
[01 1] Der zweite Prozessor umfasst zudem ein Rechenwerk, einen Schreib/Lesespeicher, 

welchen der zweite Prozessor gemaB einer Weiterbildung der Erfindung mittels Pru fal- 

gorithmen regelmaBig auf statische Fehler uberpriifen kann. 
[012] In einer Weiterbildung der Erfindung kann der zweite Prozessor die Daten im Pro- 

grammspeicher des ersten Prozessors mit einem lokal gespiegelten Speicherbereich 

vergleichen und verifizieren. 
[013] Nach einem Aspekt der Erfindung kann der zweite Prozessor bekannte Konstanten 

im Datenspeicher des ersten Prozessors durch Vergleich mit lokal gespiegelten Werten 

verifizieren. 

[014] Nach einem weiteren Aspekt der Erfindung kann, der zweite Prozessor Konfigurati- 
onsregister des ersten Prozessors durch Vergleich mit lokal gespiegelten Werten 
regelmaBig verifizieren. 

[015] In einer Ausgestaltung der Erfindung umfasst das Prozessmessgerat eine 4..20 mA 
Zweitdraht-Schnittstelle. Optional kann eine Watchdog-Schaltung die Funktion des 
zweiten Prozessors und eines zugehorigen Taktgebers uberprufen und im Fehlerfall 
unabhangig von dem ersten Prozessor und dem zweiten Prozessor iiber den 4..20 mA 
Signalstrom einen Fehler signalisieren. 

[016] Die Erfindung wird nun an einem in den Figuren dargestellten Ausfuhrungsbeispiel 
erlautert. Es zeigt: 

[017] Fig. 1 : Ein Blockschaltbild der Gerateelektronik 

[018] eines erfindungsgemaBen Druckaufnehmers; und 

[019] Fig. 2: Ein Blockschaltbild zur Selbstiiberwachung. 

[020] Die in Fig. 1. dargestellte modulare Gerateelektronik des erfindungsgemaBen 

Druckaufnehmers umfasst eine Sensorelektronik 1 und eine Hauptelektronik 2. Die 
Hauptelektronik 2, verarbeitet Sensorsignale, welche iiber eine serielle Schnittstelle 
von einer Sensorelektronik empfangen werden. 

[021] Die Sensorelektronik umfasst im einzelnen ein Sensor- ASIC 12 , dessen we- 

sentliche Aufgabe es ist, Druck- sowie Temperatursignale einer Druckmesszelle 1 1 
bzw. eines Primarsensors entgegenzunehmen und ggf. ihre Signalpegel zu normieren. 
Dazu stehen - je nach Messprinzip des Primarsensors - eine Stromquelle fur resistive 
Sensoren und eine kapazitive Schnittstelle fiir kapazitive Drucksensoren zur Verfu 
gung, an die jeweils absolut/relativ oder Differenzdruckmesszellen angeschlossen 
werden konnen. Die Normierung erfolgt iiber einstellbare Verstarker, sogenannte „ Pro- 
grammable Gain Amplifieres" (PGA), in den Ausfiihrungen als Differenz und Absolut- 
verstarker. Danach werden die normierten Werte analog/digital (A/D) gewandelt und ii 
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ber eine serielle Schnittstelle an die Hauptelektxonik 2 weitergegeben. Sensor- 
spezifische Daten wie Kompensationskoeffizienten u. a. auf einem Sensor-EEPROM 
13 abgelegt. 

[022] Das ASIC 12 ist in der Lage, Uberlaufe in den internen Verstarkern und A/ 

D-Wandlern zu erkennen und diese ebenfalls uber die serielle Schnittstelle in Form 
eines Fehlertelegramms an die Hauptelektronik 2 zu melden. 

[023] Die Hauptelektronik 2 umfasst im wesentlichen folgende Komponenten: 

[024] Einen Druckprozessor 21 (ASIC mit integriertem Digitalen Signal Prozessor 

(DSP)), der u. a. als serielles Interface zur Sensorelektronik 1 wirkt, deren Rohdaten 
empfangt, und daraus den Ausgangswert berechnet. Je nach Betriebsart kann der Aus- 
gangswert entweder Druck, Fullstand oder Durchfluss reprasentieren. Das Re- 
chenergebnis wird beispielsweise als pulsweitenmoduliertes Signal (PWM) be- 
reitgestellt Eine weitere Funktionalitat des Prozessors 21 ist die Generierung des 
Taktsignals fiir die komplette Messumf ormerelektronik. 

[025j Die Hauptelektronik umfasst weiterhin einen Kommunikations-ASIC 22; dieser 
Baustein dient als Schnittstelle des Messumformers zur AuBenwelt. In ihm integriert 
ist ein DC/DC- Wandler zur Stromversorgung des gesamten Gerates und ein 
Stromsteller, der aus dem PWM-Signal des Druckprozessors den entsprechenden 
Stromwert auf eine 4— 20mA Stromschleife einpragt. Weiterhin sind in ihm ein HART- 
Modem fiir die Kommunikation auf Feldebene, eine hochgenaue Spannungsreferenz 
sowie ein Hardware-Watchdog integriert. 

[026] Weiterhin umfasst die Hauptelektronik einen Microcontroller 25, welcher fiir die 
Initialisierung des Messprozessors benotigtwird. Im Regelbetrieb wird uber ihn 

[027] die Vor-Ort-Bedienung mittels Taster bzw. Fernbedienung iiber HART realisiert. 
Zu diesem Zweck kann auch noch ein Display 23 vorgesehen sein. 

[028] Weitere Funktionen des Microcontrollers 25 konnen beispielsweise Fehlerver- 
arbeitung, Umrechnung der Messdaten in vom Benutzer eingestellte Einheiten, 
Triggern eines Watchdogs im Kommunikations-ASIC, Protokollieren von Min/ 
Max-Werten und der Messbereichsuberschreitung, Summenzahler fiir den Modus „ 
Durchfluss", und Nichtfltichtige Datenhaltung sein. 

[029] Beim Druckprozessor 21 handelt es sich um ein ASIC mit einem integrierten 
digitalen Signalprozessor. Seine Starke liegt in der schnellen und auBerst energie- 
sparenden Berechnung der Messwerte. Unter Vollast betragt die Stromaufnahme des 
Druckprozessors ca. 600 jllA. 

[030] Der Microcontroller 25 ist zwar prinzipiell auch in der Lage, diese Berechnungen 
durchzufuhren, allerdings wiirde er bei gleicher Berechnungsgeschwindigkeit ein 
Vielfaches an Energie verbrauchen; zu viel fiir ein Gerat, das seine Versorgung aus 
einer 4-20mA Stromschleife bezieht. Eingesetzt wird der Microcontroller in den 
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Bereichen, wo es nicht auf zeitkritische Berechnungen ankommt. Dadurch ist es mo 
glich, den Baustein mit einem stark reduzierten Takt zu betreiben, urn den Strom- 
verbrauch auf ein vertragliches MaB zu senken. 
[031] Bei der Gerateinitialisierung ist folgende Besonderheit zu beachten. Da es mehrere 
verschiedene Sensorbaugruppen und Hauptelektronikvarianten gibt, ware es ein zu gro 
Ber Aufwand, fiir jede mogliche Kombination von Sensor und Elektronik eine 
passende Softwarelosung bereitzustellen. Dies wird dadurch umgangen, dass man die 
Software in zwei Teile auftrennt, namlich in einen sensor- und einen applikationsspe- 
zifischen TeiL 

[032] Der sensorspezifische Teil ist auf der Sensorelektronik in einem Sensor-EEPROM 
13 gespeichert. Erhalt die Sensorik die ersten Taktsignale von der Hauptelektronik, so 
liest sie ihren Programmteil aus dem EEPROM aus und schickt ihn iiber die serielle 
Verbindung an die Hauptelektronik. Dort wird das Sensorprogramm vom Micro- 
controller 25 aus dem DSP 21 ausgelesen und mit dem applikationsspezifi-schen 
Programm verbunden, das er aus dem Programmspeicher der Hauptelektronik erhalt. 
Die beiden Programmteile werden dann miteinander verbunden, d.h. die Offsets der 
Adressen im Speicher werden so verandert, dass verschiedene Variablen nicht die 
gleichen Speicherbereiche verwenden. Nach Abschluss dieses Vorgangs wird das nun 
komplettierte Programm zuruck in den DSP geschrieben. Danach werden lediglich 
noch die Konfigurationsparameter der Messumformung in den Datenspeicher des DSP 
geladen, der Messumformer ist nun einsatzbereit und berechnet aus den daraufhin ein- 
treffenden Rohdaten die Messwerte. 

[033] Die erfindungsgemaBen Druckaufnehmer erfiillen vorzugsweise die Anforderungen 
an Funktionale Sicherheit bis SBL 2 nach IEC 61508. Die Norm stellt quantitative An- 
forderungen hinsichtlich der Einhaltung von Mindestwerten fur sicherheitstechnische 
KenngroBen wie Safe Failure Fraction (SFF) an die Gerate. Zur Erfullung der quan- 
titativen Anforderungen (z.B. SFF > 90%) sind in der Regel zusatzliche DiagnosemaB 
nahmen und Uberwachungsfunktionen im Gerat erforderlich. Uber eine FMEDA 
(Failure Mode, Effects and Diagnostics Analysis) der Elektronik auf Kompo- 
nentenebene mit nachfolgender Optimierung wurde die Selbstiiberwachung, deren 
Konzept im folgenden beschrieben ist, als Beitrag zur Erfullung der SIL2 Norm iden- 
tifiziert. 

[034] Die Selbstuberwachung besteht aus einem Softwarepaket, mit dem unter anderem 
CRCs (CycUc Redundancy Check) und Priifsummen von RAM und ROM des Micro- 
controllers sowie des EEPROM realisiert werden. 

[035] Die Selbstuberwachung umfasst weiterhin eine stichprobenartigen Kontrolle der 

Funktion des DSP durch eine Kontrollrechnung im Microcontroller. Dazu mtissen, wie 
in Fig. 2 gezeigt, die Eingangswerte und Zustandsvariablen sowie der Ausgangswert 
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aus dem DSP 21 ausgelesen werden. Aus den Eingangswerten und den Zustands- 
variablen wird der Ausgangswert berechnet, den der DSP ausgeben miisste. Danach 
wird der gemessene mit dem berechneten Ausgangswert verglichen. Kommt es dabei 
zu Differenzen, so wird dies an ubergeordnete Kontrollinstanzen in der Software des 
Messumformers gemeldet, die ihrerseits veranlassen, dass der Kommunikations-ASIC 
22 ein Fehlersignal (HART) ausgibt. Anhand dieses Signals erkennt das Auswertegera 
t 5 an dem der Messumformer angeschlossen ist, den Geratefehler und leitet die 
notwendigen MaBnahmen ein, wie eine Meldung zum Austausch des defekten Gerates. 

[036] Der DSP 21 auf der Hauptelektronik fuhrt sehr schnelle Berechnungen durch. Um 
nun diesen Baustein iiberwachen zu konnen, wird eine Baugruppe benotigt, die 
zumindest ebenso schnell die Berechnungen durchfiihren oder zumindest die Daten des 
DSP kann. Es wurde im vorliegenden Ausfiihrungsbeispiel die Selbstuberwachung 
durch den Microcontrollers 25 gewahlt. Diese Losung beinhaltet die Kontrollrechnung 
seitens des Microcontrollers 25. Sie kommt ohne zusatzliche Hardware aus und sorgt 
dabei noch mit diversitarer Hardware fur eine erweiterte Sicherheit. Die geringere Ge- 
schwindigkeit des Microcontrollers 25 verhindert es aber, die Berechnungen des DSP 
in Echtzeit durchzufiihren. Dies ist zu benicksichtigen. 

[037] Der Microcontroller 25 fiihrt daher nur Stichproben durch. Der einzig zeitkritische 
Vorgang ist dabei das Einlesen der Zustandsvariablen (zwischengespeicherte Werte 
des letzten MeBzyklus) und der Druck- und Temperaturrohdaten der Sensorelektronik 
so wie des berechneten Ausgangswertes des DSP 21. Die nachfolgende Berechnung des 
Ausgangswertes im jiC ist praktisch zeitunabhangig, sie kann beliebig oft durch andere 
Programmteile unterbrochen werden. 

[038] Die Selbstuberwachung besteht in der Hauptsache aus drei Programmteilen: 

[039] Einer Hauptroutine, der Erfassung der Messwerte, und einer eigenstandigen 

Berechnung mit anschlieBendem Vergleich. Die komplette Selbstuberwachung ist in 
Form von Zustandsmaschinen realisiert, wobei fur die Erfassung und die Berechnung 
absichtlich zwei getrennte Prozesse eingesetzt werden. Dies ermoglicht eine unter- 
schiedliche Priorisierung der beiden Vorgange auf Interruptebene. Die Messwer- 
terfassung bedarf einer hohen Prioritat, um einen kompletten, giiltigen Datensatz in der 
gegebenen Zeit einlesen zu konnen. Liefe dieser Prozess auf einer niedrigeren Ebene, 
wiirde die Selbstuberwachung nicht funktionieren, da es aufgrund von Unter- 
brechungen nie zu einem kompletten Datensatz kame. Im Gegensatz dazu braucht die 
Berechnung keine hohe Prioritat, da sie keinem Zeitzwang unterliegt. 

[040] Im sensor- und applikationsspezifischen Programm gibt es jeweils Variablen, die 

den Wert der vorherigen Messung enthalten (Dampfungswerte, Rauschfilter). Dabei ist 
zu beachten, dass sich diese Werte sehr schnell andern, da ein kompletter Programm- 
durchlauf im DSP weniger als 10 ms dauert. Fur die Kontrollrechnung sind die 
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Zahlenwerte zum relevanten Zeitpunkt erforderlich, da sonst ein bitgenauer Vergleich 
nicht moglich ist. Dies wird durch schnelles Einlesen der betroffenen Variablen unter 
Verwendung von „Inline-Code" erreicht, also mit optimiertem Code auf Assembler- 
Ebene, der auf das Aufrufen von Registern und langwierige Stackoperationen 
verzichtet. 

[041] Jedes neue Datenpaket, das den DSP erreicht, lost einen Interrupt aus, der sich auch 
fur die Synchronisation der Selbstuberwachung einsetzen lasst. In der Interrupt- 
Routine wird bei jedem Aufruf automatisch ein Zahler (Framecounter) inkrementiert. 
Als zusatzliche Funktionalitat ist das Einlesen der Statusvariablen bei einem 
bestimmten Stand des Framecounters integriert. 

[042] Die Messwerterfassung beinhaltet das Einlesen der Druck- und Temperaturwerte 
des Sensor- ASIC, die zwischengespeicherten Ergebnisse der vorangegangenen 
Berechnung sowie den berechneten Ausgangswert des DSP. Nach dem Einlesen der 
Werte ist zu tiberprufen, ob die eingelesenen Werte, tatsachlich den gleichen Mes- 
szeitpunkt reprasentieren. 

[043] AnschlieBend wird das DSP-Programm vom Microcontroller 25 ausgefuhrt, um die 
Kontrollrechnung anhand der eingelesenen Daten durchzufiiren. Nach dem Ende der 
Kontrollrechnung findet ein Vergleich von Rechen- und Messwert statt. Stellt der Mi- 
crocontroller eine zu groBe Differenz zwischen Rechen- und Messwert fest, wird das 
Kommunikations-ASIC angewiesen, einen Fehlerstrom auszugeben und bei Bedarf 
noch eine Fehlermeldung uber HART auszugeben. 
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Anspriiche 

[001] 1. Prozessmessgerat mit einem ersten Prozessor 21, welcher in ersten Verarbei- 

tungszyklen mit einem ersten Algorithmic eine Messwertverarbeitung durchfu 
hit; und einen zweiten Prozessor 25, welcher Koordinations und/oder Kommuni- 
kationsaufgaben wahrnimmt, wobei ferner der zweite Prozessor 25 in Zeitabsta 
nden, die groBer sind als der erste Verarbeitungszyklus einen Kontrolldatensatz 
aus dem ersten Prozessor 21 ausliest, und anhand des Kontrolldatensatzes den 
ersten Algorithmus ausfuhrt urn die korrekte Funktion des ersten Prozessors zu 
verifizieren. 

[002] 2. Prozessmessgerat nach Anspruch 1, wobei der Kontrolldatensatz Roh- 

messwerte eines Sensors und Zustandsvariablen sowie die von dem ersten 
Prozessor daraus errechneten zugehorigen Ergebniswerte enthalt. 

[003] 3. Prozessmessgerat nach Anspruch 1 oder 2, wobei die Verifizierung durch 

direkten Vergleich des aus dem ersten Prozessor 21 ausgelesenen Ergebnis mit 
dem Ergebnis aus der Durchfiihrung des ersten Algorithmus durch den zweiten 
Prozessor 25 erfolgt. 

[004] 4. Prozessmessgerat nach einem der Anspriiche 1 bis 3, wobei der zweite 

Prozessor einen Programmspeicher umfasst und den Programmspeicher mittels 
einer Prufsumme oder einem CRC regelmaBig verifiziert. 

[005] - 5. Prozessmessgerat nach einem der Anspriiche 1 bis 4, wobei der zweite 

Prozessor weiterhin einen Schreib/Lesespeicher, den der zweite Prozessor mittels 
Testpattern regelmaBig auf statische Fehler iiberpriifen kann. 

[006] 6. Prozessmessgerat nach einem der Anspriiche 1 bis 5, wobei der zweite 

Prozessor einen Schreib/Lesespeicher, welchen der zweite Prozessor mittels Prii 
falgorithmen regelmaBig auf statische Fehler uberpriifen kann. 

[007] 7. Prozessmessgerat nach einem der Anspriiche 1 bis 6, wobei der zweite 

Prozessor die Daten im Programmspeicher des ersten Prozessors mit einem lokal 
gespiegelten Speicherbereich vergleicht und verifiziert. 

[008] 8. Prozessmessgerat nach einem der Anspriiche 1 bis 7, wobei der zweite 

Prozessor bekannte Konstanten im Datenspeicher des ersten Prozessors durch 
Vergleich mit lokal gespiegelten Werten verifiziert. 

[009] 9. Prozessmessgerat nach einem der Anspriiche 1 bis 8, wobei der zweite 

Prozessor Konfigurationsregister des ersten Prozessors durch Vergleich mit lokal 
gespiegelten Werten regelmaBig verifiziert. 

[010] 10. Prozessmessgerat nach einem der Anspriiche 1 bis 9, wobei das Prozess- 

messgerat eine 4..20 mA Zweitdraht-Schnittstelle umfasst, und wobei eine 
Watchdog-Schaltung die Funktion des zweiten Prozessors und eines zugehorigen 
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Taktgebers uberpriift und im Fehlerfall unabhangig von dem ersten Prozessor 21 
und dem zweiten Prozessor 25 iiber den 4..20 mA Signalstrom einen Fehler si- 
gnalisiert. 
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[Fig. 002] 
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